需要在服务器端进行验证,对每个php脚本验证传递到的数据,防止XSS攻击和SQL注入。
成都创新互联主要从事成都网站建设、做网站、网页设计、企业做网站、公司建网站等业务。立足成都服务太康,10多年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:028-86922220
php.ini --- display_errors 选项,应该设为 display_errors = off。这样 php 脚本出错之后,不会在 web 页面输出错误,以免让攻击者分析出有作的信息。
那么就要用$_GET[var]来进行获取,这个php程序员要注意。(9) 打开magic_quotes_gpc来防止SQL注入SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。
永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双-进行转换等。永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
使用PDO防注入。这是最简单直接的一种方式,当然低版本的PHP一般不支持PDO方式去操作,那么就只能采用其它方式。采用escape函数过滤非法字符。
过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等 或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。
1、使用PDO防注入。这是最简单直接的一种方式,当然低版本的PHP一般不支持PDO方式去操作,那么就只能采用其它方式。采用escape函数过滤非法字符。
2、setAttribute()那一行是强制性的,它告诉PDO禁用仿真预备义语句,使用真正的预备义语句。
3、所以,咱们还需要运用其它多种方法来避免SQL写入。 许 多数据库自身就供给这种输入数据处置功用。
4、防止注入最简单的办法就是本地生成html文件,然后上传到网站空间内,全站的html是无法被注入攻击的,除非服务器被干掉。